Close

Responsabilités d'Atlassian en cas d'incident de sécurité


Introduction

Comme tout fournisseur de services cloud qui se respecte, nous faisons de notre mieux pour nous assurer que nos clients ne rencontrent pas de panne ou d'incident de sécurité. Cependant, nous sommes conscients qu'un incident de sécurité est tout à fait possible. Pour nous, il est essentiel que les clients comprennent leur intégration dans notre processus de réponse aux incidents de sécurité et leurs responsabilités au cours d'un incident. Nous prévoyons le pire scénario, donc s'il se produit, nous sommes prêts et nous ne baratinons pas notre client.

Nous nous efforçons de gérer l'intégralité des incidents de sécurité affectant nos services et notre infrastructure. Nous prendrons les mesures nécessaires, de la détection de violations à leur maîtrise, voire à leur divulgation. Mais nous n'avons pas l'œil partout. Nous avons parfois besoin d'un coup de main de nos clients pour signaler un incident, ou encore d'un consultant externe pour mettre à profit des compétences d'enquête ou judiciaires spécialisées.

Rôles

Nous avons examiné et utilisé un certain nombre de modèles de gestion des incidents de sécurité pour nous assurer que nos processus de réponse aux incidents sont à la fois complets et de premier ordre. Nous avons extrait les principales activités de ces modèles et décrit la responsabilité de chacun.

Partie prenante

Rôle

Description

Atlassian

Rôle

Coordinateur de la réponse aux incidents de sécurité

Description

Pour chaque incident de sécurité, un coordinateur de notre équipe Atlassian chargée de la sécurité est responsable de prendre les décisions de sécurité, de superviser le processus et de répartir les tâches.

Atlassian

Rôle

Analyste des incidents de sécurité

Description

Les analystes de sécurité s'occupent de la majorité des enquêtes et des analyses sur les incidents. Pour les incidents mineurs, c'est souvent le coordinateur de la réponse aux incidents de sécurité qui s'en charge.

Atlassian

Rôle

Responsable de la communication avec les clients

Description

Un responsable de la communication avec les clients est affecté à chaque incident afin de prendre des décisions quant à la manière dont les clients doivent être impliqués. En général, cette personne assure également la majeure partie de la communication avec les clients.

Atlassian

Rôle

Red Team

Description

La Red Team d'Atlassian reproduit des attaques informatiques réelles et exécute des scénarios de test définis conçus pour évaluer nos capacités de détection et de réponse et pour identifier des pistes d'amélioration.

Atlassian

Rôle

Conseiller de support

Description

Les équipes de gestion des incidents de sécurité Atlassian sollicitent les conseils de divers experts internes dans différents domaines (par exemple, juridique, confidentialité, risques, ressources humaines, et bien plus). Ces conseillers dispensent des conseils spécialisés sur des questions qui ont un impact sur leurs domaines d'expertise.

Conseils en sécurité

Rôle

Conseiller

Description

Atlassian recourt aux services d'un conseiller spécialisé en cybersécurité en cas d'incident. En général, les services de conseils permettent de fournir des ressources supplémentaires en cas de pénurie, des compétences spécialisées si elles ne sont pas disponibles en interne, ainsi que des conseils indépendants et un examen des incidents.

Client

Rôle

Rapporteur

Description

Nous encourageons les clients à signaler tout accès non autorisé ou comportement malveillant aux actifs Atlassian.

Client

Rôle

Contact de sécurité

Description

Si un incident affectant un client est confirmé, le contact de sécurité de ce dernier sera informé. Le contact de sécurité est généralement le contact technique du compte, mais peut changer si le client dispose d'une équipe de sécurité dédiée Le contact de sécurité s'assure que le client gère correctement l'incident en dehors du périmètre des actifs Atlassian

Responsabilités

Nous définissons nos responsabilités en matière de gestion des incidents de sécurité à l'aide du modèle RACI. Bien que nous nous efforcions de remplir nos responsabilités définies, les clients sont finalement responsables de la sécurité de leurs données conformément au Contrat client Atlassian.

  • Responsible (En charge) : la partie accomplira la tâche.
  • Accountable (Responsable) : la partie est en fin de compte responsable de la réalisation adéquate et complète de l'activité.
  • Consulted (Consulté) : la partie dont les opinions sont sollicitées et avec laquelle il existe une communication bilatérale.
  • Informed (Informé) : la partie qui est tenue informée de l'avancement et avec qui il n'existe qu'une communication à sens unique.

Activité

Atlassian

Client

Détection

Atlassian

Personne réalisatrice

Customer

 

TRIAGE

Atlassian

Personne réalisatrice

Customer

 

Enquête

Atlassian

Personne réalisatrice

Customer

 

Confinement

Atlassian

Personne réalisatrice

Customer

 

Éradication

Atlassian

Personne réalisatrice

Client

Informé

Récupération

Atlassian

Personne réalisatrice

Client

Informé

Notification (au client)

Atlassian

Personne réalisatrice

Client

Informé

Notification (à Atlassian)

Atlassian

Informé

Client

Personne réalisatrice

Amélioration

Atlassian

Personne réalisatrice

Customer

 

Tests

Atlassian

Personne réalisatrice

Customer

 

Reporting externe (application de la loi et conformité)

Atlassian

Responsable, En charge

Client

Informé

Publication de données agrégées

Atlassian

Personne réalisatrice

Client

Informé